人人都被迫接受某些事實(shí)。例如我們的世界無(wú)法根除犯罪，例如網(wǎng)絡(luò)空間無(wú)法滅絕病毒。正是因此，我們需要 AV 常駐在系統(tǒng)之中。不要誤會(huì)，AV是 Anti-Virus（殺毒軟件）的簡(jiǎn)稱。

殺毒一如緝兇，通俗來(lái)講就是依靠通緝犯的照片（病毒樣本），找到喬裝改扮的罪犯（病毒及變種）。被廣泛安裝的騰訊管家類軟件，其中都搭載了騰訊反病毒引擎 TAV。而這個(gè)引擎，出自騰訊反病毒實(shí)驗(yàn)室之手。

殺毒引擎就像一部汽車的發(fā)動(dòng)機(jī)，你無(wú)法通過外觀來(lái)判斷它的性能。想要知道它究竟有多大的能力，非得親自踩下油門不可。當(dāng)你每次點(diǎn)擊查殺病毒的時(shí)候，實(shí)際上都在和實(shí)驗(yàn)室的每一位安全專家“對(duì)話”；然而在現(xiàn)實(shí)中，用戶卻很難有機(jī)會(huì)和他們面對(duì)面交談。

雷鋒網(wǎng)采訪到了騰訊反病毒實(shí)驗(yàn)室的負(fù)責(zé)人馬勁松，他講述了騰訊殺毒引擎白手起家的創(chuàng)業(yè)故事。

【馬勁松】

血戰(zhàn)地址欄

作為一名技術(shù)出身的“病毒殺手”，馬勁松談吐沉穩(wěn)，有一種老刑警的風(fēng)范。

殺毒的本質(zhì)是技術(shù)對(duì)抗，而這正是他一直以來(lái)專注的領(lǐng)域。馬勁松仍然可以清晰地回憶起十年前自己剛到騰訊時(shí)的“特別任務(wù)”。

當(dāng)時(shí)的搜索引擎還處在江湖混戰(zhàn)的階段，有騰訊的搜搜、3721、百度、谷歌、雅虎、CNNIC。用戶在IE地址欄里輸入關(guān)鍵詞進(jìn)行搜索的時(shí)候，IE 會(huì)按照順位自動(dòng)指定一個(gè)搜索引擎進(jìn)行查詢。為了爭(zhēng)到第一順位，幾家搜索引擎在后臺(tái)已經(jīng)打得不可開交。于是我和劉桂澤兩個(gè)人接下了這個(gè)對(duì)抗的任務(wù)。

搜索引擎的流量決定了廣告收入規(guī)模。通俗來(lái)講，這就像幼兒園的老師讓小朋友排好隊(duì)，排在第一的就可以得到小紅花，于是面前的小朋友就開始了你爭(zhēng)我奪的“廝殺”。

非常明顯，每次我們推送新版本之后，廣告收入就會(huì)有明顯的提升，但是競(jìng)品的技術(shù)團(tuán)隊(duì)也在做同樣的對(duì)抗，今天我們排第一，明天可能就是對(duì)手排第一。所以我們必須不斷地研究對(duì)手的程序，改進(jìn)自己的程序。

這樣的升級(jí)開始以周為單位，之后逐漸白熱化到以天為單位。讓馬勁松頗感驕傲的是，對(duì)抗到后來(lái)只要下發(fā)幾十個(gè)字節(jié)的配置升級(jí)文件，就可以保證搜搜的搜索接口排到隊(duì)首。甚至有的時(shí)候，他可以研發(fā)出一個(gè)“大版本”，讓對(duì)手兩三天都沒辦法破解。

雖然對(duì)抗激烈如斯，但是所有的搜索廠商都在遵守著同樣的江湖規(guī)矩，那就是：所有的對(duì)抗只能在后臺(tái)進(jìn)行，不能彈窗，不能崩潰，不能讓用戶有所感覺。

正是因?yàn)槿绱?，在馬勁松眼里，十年前的這場(chǎng)混戰(zhàn)更像是技術(shù)的競(jìng)賽，而不是你死我活的戰(zhàn)爭(zhēng)。

軟件對(duì)抗中不可能出現(xiàn)一招制敵的戰(zhàn)術(shù)，如果你使出這樣的招數(shù)，一定會(huì)把戰(zhàn)爭(zhēng)升級(jí)。如此一來(lái)局面肯定會(huì)失衡，會(huì)有更大的麻煩等在后面。

這個(gè)觀點(diǎn)也成為了后來(lái)騰訊反病毒引擎的行為哲學(xué)。

手工打磨一部殺毒引擎

2010年，世界上還不存在一個(gè)為名“騰訊殺毒引擎”的東東。但是命運(yùn)總是這么讓人猝不及防，3Q 大戰(zhàn)爆發(fā)。

嚴(yán)峻的形勢(shì)擺在面前，我們必須要有一部殺毒引擎。但是由于時(shí)間緊迫，從頭研發(fā)肯定來(lái)不及，所以我負(fù)責(zé)和某國(guó)際廠商接觸，購(gòu)買一部 OEM（定制生產(chǎn)）引擎。

但是，鑒于騰訊的體量、用戶量，當(dāng)然還有他們對(duì)殺毒引擎要求的迫切程度，某廠商制定了苛刻的協(xié)議，要了一個(gè)高出天際的價(jià)碼。用馬勁松的話說，這個(gè)價(jià)錢“讓人驚愕”。他十分憤怒，然后交了錢。

然而，這部賓利價(jià)格的引擎卻只提供了夏利引擎的性能。“一旦跑起來(lái)，馬上占用 200M 內(nèi)存，連打開 Word 都很卡?！睍r(shí)隔六年，馬勁松仍然忍不住吐槽?！岸沂褂眠^程中，有客戶反應(yīng)有的病毒查不到，清不掉。我們只好給廠家反映，他們態(tài)度倒是很好，24小時(shí)響應(yīng)。只是接到我們的反饋之后就杳無(wú)音訊，幾個(gè)月都不升級(jí)。”而這是傳統(tǒng)殺軟廠商的通病。

2011年，忍無(wú)可忍的馬勁松拍案而起，決定搞騰訊自己的殺毒引擎。

由于我來(lái)到騰訊之前就在國(guó)內(nèi)著名的傳統(tǒng)殺毒軟件廠商工作，所以我對(duì)自己的技術(shù)很有信心。但是由于是從零開始，為一個(gè)引擎研發(fā)虛擬執(zhí)行、脫殼拆包這些基礎(chǔ)能力仍然需要一定的時(shí)間。”直到半年之后，騰訊反病毒引擎 TAV 才基本成型，團(tuán)隊(duì)決定把引擎放到測(cè)試平臺(tái)上接受考驗(yàn)。

上線測(cè)試之前我就覺得應(yīng)該不會(huì)太差，但是收到第一份測(cè)試報(bào)告的時(shí)候我還是非常興奮，因?yàn)槲覀兊囊鎸?duì)病毒的檢出率指標(biāo)一上來(lái)就排在所有競(jìng)品的中上等位置。

但是，此時(shí)的 TAV 引擎絲毫沒有驕傲的資本，因?yàn)轳R勁松一手打造的引擎，對(duì)資源的占用甚至超過買來(lái)的那部 OEM 引擎。某種程度上他理解了競(jìng)品的苦衷，但是他并沒想為此妥協(xié)。“要保證檢出率，同時(shí)還要保證檢測(cè)的速度，這是一個(gè)需要仔細(xì)考量的平衡?！?/p>

為此， 馬勁松帶領(lǐng)兄弟們做了如下幾件事：

• 在文件進(jìn)入引擎之前，就要先行篩選過濾。有一些在白名單中的文件可以肯定不是病毒，所以可以利用某些條件，有選擇性地讓疑似文件進(jìn)入虛擬執(zhí)行等耗費(fèi)資源的流程。

• 在檢測(cè)文件安全性的時(shí)機(jī)上，不一定是文件剛登陸系統(tǒng)就進(jìn)行檢查，而是根據(jù)細(xì)分場(chǎng)景，在系統(tǒng)閑置的時(shí)候，或者拷貝文件的時(shí)候?qū)ξ募M(jìn)行檢查。

• 對(duì)于病毒庫(kù)進(jìn)行了精簡(jiǎn)，團(tuán)隊(duì)的安全研究員反復(fù)實(shí)驗(yàn)，提取到病毒最好的特征，短小的同時(shí)誤報(bào)率低。

• 改進(jìn)算法引擎，用機(jī)器學(xué)習(xí)的辦法幫助提取病毒的特征。

從2012年中期開始，TAV 的資源占用逐漸達(dá)到了馬勁松的理想狀態(tài)，用他的話說，“這才是互聯(lián)網(wǎng)廠商做的殺毒引擎”。他告訴雷鋒網(wǎng)，現(xiàn)在電腦管家內(nèi)的 TAV 引擎，包括病毒特征庫(kù)在內(nèi)總體積只有不到 10M。

從那時(shí)開始，使用了 TAV 的電腦管家在VB100、AVC、 AV-Test 等國(guó)際殺毒軟件的官方測(cè)評(píng)中一直保持在第一梯隊(duì)，在 PC 殺毒領(lǐng)域緊緊追趕卡巴斯基，小紅傘等超一流殺毒引擎。 

【2016年度，TAV 將要參加各種機(jī)構(gòu)測(cè)評(píng)的“日程表”】

有了自己的殺毒引擎，馬勁松感到了前所未有的暢快：“這幾年我們偶爾還會(huì)遇到疑難病毒特殊樣本的處理。之前有一個(gè)復(fù)制能力很強(qiáng)的宏病毒，我們向 OEM 引擎反映了兩三個(gè)月，都沒有得到處理；而我們自己的團(tuán)隊(duì)算上關(guān)鍵模塊開發(fā)的時(shí)間，也只用了一周左右就實(shí)現(xiàn)完全查殺了?！?/p>

馬勁松告訴雷鋒網(wǎng)，在殺毒引擎進(jìn)化的過程中，云的功勞無(wú)可替代。一些大體量的陳舊的病毒樣本可以放在云端，而目前流行的傳染性強(qiáng)的病毒放在本地，也成為了目前各家殺毒引擎的標(biāo)配。

哈勃?jiǎng)?chuàng)生

一套完整地反病毒體系，不僅應(yīng)該有“對(duì)著照片抓兇手”的前端查殺引擎，還應(yīng)該有“判斷誰(shuí)是兇手”的后端偵測(cè)系統(tǒng)。在最初的階段，TAV 的病毒庫(kù)來(lái)源的主要部分是通過各種渠道收集來(lái)的樣本。但是在 TAV 不斷完善的過程中，馬勁松發(fā)現(xiàn)，對(duì)于這些樣本，自家引擎已經(jīng)游刃有余了。

于是哈勃系統(tǒng)出現(xiàn)在他們的計(jì)劃中。簡(jiǎn)單說來(lái)，哈勃就是通過對(duì)全網(wǎng)所有文件進(jìn)行全量分析，然后根據(jù)文件的行為檢測(cè)出新病毒的系統(tǒng)。通俗來(lái)說，這個(gè)抓捕能力很強(qiáng)的“警察局”要開始增強(qiáng)自己的偵察能力了。

現(xiàn)在哈勃系統(tǒng)每天可以對(duì)上千萬(wàn)個(gè)全網(wǎng)新增文件進(jìn)行分析，通過構(gòu)建一個(gè)虛擬的運(yùn)行環(huán)境，加之各種規(guī)則來(lái)綜合判斷一個(gè)文件是否安全。

告訴哈勃怎樣來(lái)判斷一個(gè)文件究竟是不是病毒，這件事情其實(shí)遠(yuǎn)比想象中復(fù)雜，因?yàn)轳R勁松和團(tuán)隊(duì)面對(duì)的，是一個(gè)個(gè)病毒背后活生生的黑客。

很多病毒會(huì)和殺毒軟件進(jìn)行對(duì)抗，比如通過周圍的條件判斷自己是不是運(yùn)行在殺毒軟件的虛擬機(jī)中；

還有很多盜號(hào)的木馬，他們會(huì)檢測(cè) DNS 服務(wù)在不在，檢測(cè)系統(tǒng)里的 QQ 是否在運(yùn)行。由于我們不可能在虛擬機(jī)中真的安裝 QQ，所以我們需要用代碼來(lái)模擬這些軟件存在的特征。

還有些病毒，它的發(fā)作需要很特殊的觸發(fā)條件，例如被下載之后，會(huì)等待30秒才開始攻擊行為。或者首次運(yùn)行的時(shí)候什么都不干，重啟的時(shí)候再攻擊。對(duì)于這種病毒我們就要跳過前面的等待代碼，直接檢查后面的代碼。

還有一些復(fù)雜的病毒，他們自身可以加密、變形。這種特殊的病毒，只能依靠真實(shí)的執(zhí)行，讓它在運(yùn)行的過程中自己解密為明文代碼。但是這就對(duì)虛擬機(jī)提出了很高的要求，如果虛擬機(jī)寫得不夠精巧，很可能病毒跑到一半就解密不下去了。

馬勁松告訴雷鋒網(wǎng)，由于分析的數(shù)據(jù)非常龐大，哈勃引擎還可以產(chǎn)生出質(zhì)量很高的威脅情報(bào)。

“在這些病毒樣本中，我們可以提取到 IP 地址、URL 地址、手機(jī)號(hào)、短信號(hào)、E-mail 地址。這些都是非常有價(jià)值的信息。例如你可以通過 E-mail 查詢到注冊(cè)者的信息，通過網(wǎng)址也可以查詢到注冊(cè)者的信息，這些信息可以提供給騰訊內(nèi)部以及合作伙伴，看到整個(gè)網(wǎng)絡(luò)中對(duì)特定目標(biāo)的攻擊態(tài)勢(shì)。”

【2015年冬天，馬勁松和同事們?cè)谵k公室等待測(cè)評(píng)結(jié)果】

最難跨越的是最后一步

2015年6月，馬勁松和反病毒實(shí)驗(yàn)室接到了一項(xiàng)艱巨的任務(wù)，那就是扛起“手機(jī)病毒查殺”的重?fù)?dān)。雖然團(tuán)隊(duì)專家之前對(duì)手機(jī)病毒有所研究，但是主攻方向一直是 PC 端。

手機(jī)病毒和 PC 病毒雖然原理相同，但是文件格式、黑白名單的比例構(gòu)成、有害行為的特征都不一樣。這些細(xì)節(jié)的東西還是非常吃功夫的。

馬勁松說，他盡量不讓兄弟們加班加點(diǎn)，從容有序地完成這個(gè)龐大的計(jì)劃。他告訴雷鋒網(wǎng)一個(gè)印象深刻的場(chǎng)景：

到了11月的時(shí)候，我們的手機(jī)引擎第一次參加 AV-Test 的測(cè)評(píng)。我們知道成績(jī)就會(huì)在這兩天公布，于是我們幾個(gè)人每天都等在公司。由于和德國(guó)有時(shí)差，所以我們一直等到晚上11點(diǎn)。但是連續(xù)兩三天都沒有等到，去年的冬天非常冷，我們半夜回家都凍得夠嗆。

不過最后一天晚上十一點(diǎn)半，我們終于等到了那個(gè)郵件。我們以98%的檢出率得到了滿分。那一瞬間，我們突然覺得餓了，大半夜里我就請(qǐng)大伙出去吃了頓大餐。

雖然檢出率超過98%就被認(rèn)定是滿分，但是“98%”的數(shù)據(jù)還是讓馬勁松覺得很刺眼，因?yàn)檫@意味著距離100%還差兩個(gè)百分點(diǎn)。但是這2%的距離，卻不是輕易可以補(bǔ)足的。奇怪的是，說到如何補(bǔ)足這兩個(gè)點(diǎn)，馬勁松覺得并沒有獨(dú)門絕技?！安⒉淮嬖谖易隽四臣?，就突然提高了這兩個(gè)點(diǎn)的一一對(duì)應(yīng)關(guān)系。我們其實(shí)就是把所有的細(xì)節(jié)重新扣了一遍，優(yōu)化了所有覺得有進(jìn)步空間的邏輯。功夫、心態(tài)，98%到100%就差這點(diǎn)距離?！?/p>

2016年3月，TAV 在手機(jī)病毒查殺評(píng)測(cè)中第一次拿到了100%的成績(jī)。

【AV-Test 2016年3月 移動(dòng)端殺毒軟件的測(cè)評(píng)報(bào)告，騰訊和其他公司并列第一（并列先后順序按照公司字母排序）】

“從這以后，我再也看不到競(jìng)品的同學(xué)秀他們的評(píng)測(cè)成績(jī)了?！瘪R勁松對(duì)此非常驕傲。

說到當(dāng)年研發(fā) TAV 的初衷，馬勁松頗為感慨：

因?yàn)闅⒍拒浖臋?quán)限是系統(tǒng)級(jí)別的，處在核心位置；就像防火墻處在防御系統(tǒng)的邊界一樣。如果在核心的能力上受制于國(guó)外，就有可能被留下后門，做手腳，受制于人。我們沒有任何辦法。

故事的發(fā)展印證了這位“老刑警”的判斷，2014年，國(guó)家發(fā)布規(guī)定，國(guó)有企業(yè)禁止采購(gòu)國(guó)外的殺毒軟件。

在馬勁松心里，TAV 站在中國(guó)的網(wǎng)絡(luò)邊疆之上，守土有責(zé)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。